102 EL ARTE DE LA INTRUSIÓN RAMA

Custodiando las barricadas

ésa acceder al archivo de contraseñas y descargarlo en una máquina cualquiera, incluso fuera de la empresa.

Había argumentado su opinión. "Así comenzó el programa de seguridad informática en Boeing", nos dijo Don. Pero el esfuerzo se encontraba todavía en la fase incipiente cuando Matt y Costa comenzaron sus intrusiones. Le había "costado mucho convencer a la dirección de que realmente debían invertir en recursos y financiar los programas de seguridad informática". El episodio que protagonizaron Matt y Costa sería "lo que lo consiguió por mí".

Como resultado de la valiente función que desempeñaba como portavoz de seguridad, Don fue el responsable de organizar una clase innovadora sobre informática forense en Boeing. "Un agente del gobierno nos preguntó si queríamos colaborar en la puesta en marcha de un grupo de agentes de los cuerpos de seguridad y de empleados del sector industrial para generar documentación. La organización estaba diseñada para ayudar en la formación de agentes de los cuerpos de seguridad en tecnología informática forense, incluidas las técnicas de investigaciones de alta tecnología. De modo que yo fui uno de los jugadores claves que ayudaron a que saliera adelante. Teníamos representantes de Microsoft, US West, la compañía telefónica, dos bancos, diferentes organizaciones financieras, etc. Los agentes de los Servicios Secretos vinieron para compartir sus conocimientos sobre los aspectos de alta tecnología de las falsificaciones".

Don logró que Boeing patrocinara las sesiones, que se celebraron en uno de los centros de formación en informática de la compañía. "Trajimos unos treinta y cinco agentes de seguridad a cada curso de una semana de duración sobre cómo evaluar un ordenador, cómo solicitar una orden judicial de registro de un ordenador, cómo realizar los informes periciales sobre el ordenador, todo el trabajo completo. Trajimos a Howard Schmidt, que más tarde fue contratado por las fuerzas de seguridad, en respuesta a la petición del presidente de estudiar los ciberdelitos".

El segundo día del curso, sonó el busca de Don. "Llamé a la administradora, Phyllis, y me dijo: 'Está ocurriendo algo extraño en esta máquina y no logro saber qué es'". Una serie de directorios ocultos

iRA-MA POLICÍAS Y LADRONES 103

contenían lo que parecían archivos de contraseñas, me explicó. Y un programa llamado Crack se estaba ejecutando en segundo plano. Eran malas noticias. Crack es un programa diseñado para romper el cifrado de las contraseñas. Prueba una lista de palabras o una lista de entradas de diccionario, así como combinaciones de palabras como Bill1, Bill2, Bill3, etc. para intentar averiguar la contraseña.

Don envió a su compañero, Ken ("nuestro gurú de la seguridad en Unix") para que echara un vistazo. Aproximadamente una hora después, Ken envió un mensaje al busca de Don diciendo: "Será mejor que subas aquí. Parece que puede ponerse muy feo. Tenemos muchas contraseñas craqueadas y no son de Boeing. Hay una en especial que tienes que ver".

Entretanto, Matt había estado trabajando duro dentro de las redes informáticas de Boeing. Después de haber conseguido acceso con los privilegios de administrador del sistema, "fue fácil acceder a las cuentas buscando en otras máquinas a las que había accedido esta gente". Estos archivos contenían con frecuencia números de teléfono de proveedores de software y otros ordenadores a los que llamaba la máquina. "Un directorio primitivo de otros hosts que había allí", dice Matt. Poco después, los dos hackers accedían a las bases de datos de una serie de empresas. "Pusimos los dedos en un montón de lugares", asegura Costa.

Como no quería dejar el seminario, Don pidió a Ken que le enviara por fax lo que estaba viendo en la pantalla del administrador. Cuando llegó la transmisión, Don sintió alivio de no reconocer ninguna de las identificaciones de los usuarios. Sin embargo, algo que le sorprendió fue el hecho que muchos de ellos comenzaran por la palabra "Juez". Entonces lo comprendió:

Pensé, ¡dios mío! Entré en una habitación llena de agentes de las fuerzas del orden y dije: "¿Reconocéis alguno de estos

nombres? " Leí en voz alta una lista. Un agente federal explicó: "Son jueces del Tribunal del Distrito de Seattle". Y yo contesté: "Bien, tengo un archivo de contraseñas aquí con 26 contraseñas craqueadas ". Aquellos agentes federales se quedaron blancos.

104 EL ARTE DE LA INTRUSIÓN © RAMA

Don observaba cómo un agente del FBI con el que había trabajado anteriormente hacía unas cuantas llamadas.

Llamó al Tribunal del Distrito de Estados Unidos y pidió que le pasaran con el administrador del sistema. Podía oír

directamente a ese tipo, al otro lado de la línea, diciendo: "No, imposible. No estamos conectados a Internet. No pueden conseguir nuestros archivos de contraseñas. No puedo creer que sea nuestra máquina". Y Rich le decía: "No. Es tu máquina. Tenemos los archivos de contraseñas". Y el tipo insistía: "No, no puede ser. Nadie puede acceder a nuestras máquinas ".

Don buscó en la lista que tenía en la mano y vio que la contraseña del superusuario, la contraseña de máximo nivel que sólo conocen los administradores del sistema, había sido craqueada. Se la señaló a Rich.

Rich dijo por el teléfono: "¿Tu contraseña de superusuario es '2ovens'? " Silencio absoluto al otro lado de la línea. Todo lo que oímos fue el golpe de la cabeza de este tipo contra la mesa.

Cuando volvimos al aula, Don percibió que se avecinaba una tormenta. "Les dije: 'Chicos, ha llegado la hora de prácticas de información en la vida real'".

Don, con parte de la clase siguiéndole los pasos, se preparó para la batalla. Primero, fue al centro de ordenadores de Bellevue donde se ubicaba el cortafuegos. "Encontramos la cuenta que estaba ejecutando el programa Crack, la cuenta con la que el atacante entraba y salía, y la dirección IP desde la que procedían".

En aquel momento, con el programa para craquear contraseñas ejecutándose en el ordenador de Boeing, los dos hackers habían saltado al resto del sistema de Boeing, extendiendo la "tela de araña" para acceder a cientos de ordenadores de Boeing.

Uno de los ordenadores al que estaba conectado el sistema de Boeing ni siquiera estaba en Seattle, sino al otro lado del país. Según Costa:

Era uno de los ordenadores del laboratorio de Propulsión a Reacción en los Laboratorios de Investigación de Langley que tiene la NASA en Virginia, un Cray YMP5, una de las joyas de la corona. Fue uno de nuestros momentos definitivos.

Te pasan por la cabeza todo tipo de ideas. Algunos de los secretos podían hacerme rico, o acabar con mi vida o inculparme.

Los asistentes al seminario se turnaban para ver la fiesta en el centro de informática. Se quedaron petrificados cuando el equipo de seguridad de Boeing descubrió que los atacantes tenían acceso al Cray y Don a penas podía creerlo. "Pudimos determinar muy rápidamente, en una hora o dos, ese punto de acceso y los puntos de acceso al cortafuegos".

Mientras tanto, Ken tendió trampas virtuales en el cortafuegos para averiguar qué otras cuentas habían sido quebrantadas.

Don llamó a la compañía telefónica local y les pidió que colocaran un registro de llamadas en las líneas de módem de Boeing que los atacantes estaban utilizando. Con este método capturarían los números de teléfono desde los que se originaban las llamadas. Los empleados de la empresa de telefonía aceptaron sin dudarlo. "Formaban parte de nuestro equipo y sabían quién era yo, así que no hicieron ninguna pregunta. Ésa es una de las ventajas de pertenecer a uno de estos equipos de los cuerpos de seguridad".

Don colocó ordenadores portátiles en los circuitos entre los módems y los ordenadores, "básicamente para almacenar en un archivo todo lo que se tecleara". Incluso conectó impresoras Okidata a todas las máquinas "con el fin de imprimir todo lo que hicieran en tiempo real. Lo necesitaba como pruebas. No se argumenta igual con un papel, que con un archivo electrónico". Quizás no sea de extrañar cuando se piensa en lo qué confiará más un jurado: un archivo electrónico o un documento impreso en el mismo instante del incidente.

El grupo volvió al seminario durante unas horas en las que Don explicó resumidamente la situación y las medidas defensivas que se

habían tomado. Los agentes de policía estaban obteniendo experiencia práctica de nivel universitario en informática forense. "Volvimos a arriba a seguir trabajando y comprobar lo que teníamos y, mientras estaba allí delante con dos agentes federales y mi compañero el módem saltó.

¡Bingo! Los chicos entraron, se registraron en la cuenta", dice Don.

La compañía de teléfonos local siguió la pista a Matt y Costa hasta sus casas. El equipo observaba cómo los hackers se registraban en el cortafuegos. En ese momento, transferían desde la Universidad de Washington, donde se registraban en la cuenta de Matt Anderson.

Matt y Costa habían tomado precauciones que pensaron que evitarían que las llamadas fueran rastreadas. Por un lado, en lugar de marcar directamente a Boeing, llamaban a los ordenadores del Tribunal del Distrito y, desde ahí, encaminaban una llamada a Boeing. Pensaron que "si había alguien en Boeing vigilándonos, probablemente les resultaría muy difícil averiguar de dónde procedían nuestras llamadas", comenta Costa.

No podían sospechar que cada uno de sus movimientos estaba siendo observado y registrado cuando Matt llamaba al Tribunal, de ahí a Boeing y a continuación transfería a su cuenta personal de la universidad.

Como éramos tan nuevos en el sistema [del Tribunal del Distrito] y la contraseña y el nombre de usuario eran "públicos ", en aquel momento no pensé que fuera peligroso, o fui perezoso. Aquella marcación directa fue lo que les guió hasta mi apartamento y entonces fue cuando todo se derrumbó.

Al equipo de Don le habría gustado estar presente cuando Matt comenzó a leer el email que recibió en su cuenta de la universidad. "En el correo de este chico estaba todo la información sobre sus artificios de

hacker y las respuestas de otros hackers".

Los agentes de policía estaban allí sentados partiéndose de risa porque no son más que niños arrogantes que no piensan que los puedan pillar. Y los estábamos viendo en tiempo real dejando pruebas justo ahí, en nuestras manos.

iRA-MA POLICÍAS Y LADRONES 1071

Mientras tanto, Don cortaba las hojas de la impresora, las pasaba a todo el mundo para que las firmaran como testigos y las sellaba como pruebas. "En menos de seis horas desde que supimos de la intrusión que estábamos sufriendo ya habíamos cazado a estos chicos por el delito de entrada no autorizada".

El consejo de administración de Boeing no se reía. "Les asustaba el ingenio de esos chicos y querían poner fin a la actividad de los hackers. 'Sacadlos de los ordenadores y cerrar el asunto ahora mismo'". Don pudo convencerles de que sería más inteligente esperar. "Les dije: 'No sabemos en cuantos sitios han estado estos chicos. Tenemos que seguirlos durante un tiempo y averiguar que diablos está ocurriendo y qué han hecho'". Si se medita sobre el riesgo que suponía, conseguir que el consejo cediera fue un notable testimonio de las habilidades profesionales de Don.

In document El Arte de la Intrusión, Como ser un Hacker o Evitarlos by ThErO (página 127-132)